Voer update voor Chrome uit, want 2 zerodaylekken actief misbruikt
De kwetsbaarheden CVE‑2026‑3909 en CVE‑2026‑3910 kregen allebei een hoge risicoscore. Bovendien zijn aanvallers die effectief aan het misbruiken. Gebruikers krijgen dan ook het dringende advies hun browser meteen te updaten naar de nieuwste versie om misbruik te voorkomen (via Bleeping Computer).
De update brengt Chrome op versie 146.0.7680.75/76 voor Windows en macOS, en 146.0.7680.75 voor Linux. Interne veiligheidsteams van Google ontdekten de twee lekken op 10 maart, waarna een versnelde noodpatch werd uitgerold. Het bedrijf heeft dus niet lang op een reactie laten wachten. In februari moest Google ook al met een snelle oplossing komen. Zo zitten we al aan drie zerodays in 2026. Vorig jaar waren dat er acht. Toen betaalde het daarvoor en voor andere tips 17 miljoen dollar aan beloningen uit aan 747 beveiligingsexperts.
Kan willekeurige code uitvoeren
Het eerste lek, CVE‑2026‑3909, is een ‘out‑of‑bounds write’ in Skia, de grafische engine die Chrome gebruikt voor het renderen van webinhoud en interface‑elementen. Zo’n kwetsbaarheid is enorm gevaarlijk. Het programma schrijft daarbij gegevens voorbij het begin of einde van de bedoelde buffer aan geheugenruimte. Door het geheugen te manipuleren via kwaadaardige HTML‑pagina’s kunnen aanvallers de browser laten crashen of zelfs eigen code uitvoeren. Dat maakt het lek bijzonder gevaarlijk, zeker omdat het zonder interactie kan gebeuren, zonder een website te moeten bezoeken.
Het tweede lek, CVE‑2026‑3910, bevindt zich in V8, de JavaScript‑ en WebAssembly‑engine van Chrome. Het gaat om een foutieve implementatie die eveneens kan leiden tot willekeurige code‑uitvoering wanneer een gebruiker een speciaal geprepareerde webpagina bezoekt. Beide kwetsbaarheden kregen een CVSS‑score van 8.8, wat de ernst van de situatie onderstreept.
Eerst updaten, dan info
Google deelt voorlopig geen technische details over de exploitmethodes, om te vermijden dat andere aanvallers de informatie misbruiken. Wel bevestigt het bedrijf dat de lekken al actief werden ingezet in gerichte aanvallen. Zodra de meerderheid van de gebruikers beschermd is, zal Google mogelijk meer informatie vrijgeven.
De update voor Chrome kun je automatisch laten uitvoeren, maar het liefst gewoon onmiddellijk zelf doen. Ga in Chrome via de drie verticale bolletjes naar Instellingen, en dan helemaal onderaan naar Over Chrome. Daar vind je de update en kun je de versie controleren.
